Foritgate飞塔下一代防火墙后渗透利用

admin
admin
admin
141700
文章
117
评论
2025年5月26日19:36:48评论11 views字数 2231阅读7分26秒阅读模式

免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

1

环境搭建

飞塔IOS下载地址
Foritgate飞塔下一代防火墙后渗透利用
https://dl.partian.co/FortiGate/Version_6.00/6.4/6.4.11/

使用vmware打开ovf文件,启动fortaigate后初始账号admin密码为空,登录成功需要重新设置密码;

Foritgate飞塔下一代防火墙后渗透利用Foritgate飞塔下一代防火墙后渗透利用

网络配置

Network Adapter对应着port1Network Adapter 2对应着port2,以此类推;Network Adapter配置外网网段,Network Adapter 2配置内网网段;Foritgate飞塔下一代防火墙后渗透利用

配置wan口ip

config system interfaceedit "port1"set mode staticset ip 192.168.9.5 255.255.255.0set allowaccess ping https ssh http telnetend
Foritgate飞塔下一代防火墙后渗透利用

配置lan口ip

config system interfaceedit "port2"set mode staticset ip 192.168.163.2 255.255.255.0set allowaccess ping https ssh http telnetend
Foritgate飞塔下一代防火墙后渗透利用

静态路由

config router staticedit 1    set gateway 192.168.9.1 //配置外网网段的网关    set device "port1" //配置出网口end
Foritgate飞塔下一代防火墙后渗透利用

配置静态路由后,fortigate即可出网

访问web: https://192.168.9.5/
Foritgate飞塔下一代防火墙后渗透利用

防火墙策略

默认会有一条Implicit Deny表示拦截任何流量

Foritgate飞塔下一代防火墙后渗透利用

配置一条出网策略,这里可以配置的简单点Foritgate飞塔下一代防火墙后渗透利用

飞塔激活

https://github.com/rrrrrrri/fgt-gadgets

使用该项目生成License文件,导入后解锁SSLVPN等功能。

Foritgate飞塔下一代防火墙后渗透利用

添加内网主机

将内网主机网卡设置到一个网段中,静态ip随意,网关设置成fortigate的内网网卡ip192.168.163.2,即可出网;

Foritgate飞塔下一代防火墙后渗透利用
Foritgate飞塔下一代防火墙后渗透利用
Foritgate飞塔下一代防火墙后渗透利用

2

历史漏洞回顾

CVE-2018-13379目录遍历漏洞,该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素,导致攻击者可利用该漏洞访问受限目录之外的文件,从而获取敏感信息,可以通过读SSLVPN的session文件来获取账号密码。

CVE-2022-40684身份验证绕过漏洞,这意味着未经身份验证的攻击者可以通过精心构造的 HTTP 或 HTTPS 请求执行某些管理任务。攻击者执行的最常见的管理任务是泄露 Fortinet 设备配置并在受感染设备上创建超级管理员账户,Fortigate 后端过于相信前端代理,攻击者可以在host和forward中设置内网 127.0.0.1:9980,从而绕过前端验证,直接访问后端api资源。

3

后渗透

ForiGate支持VPN功能可以通过配置vpn进行远程连接,对目标进行后渗透

配置VPN:

https://blog.csdn.net/meigang2012/article/details/87903878

配置好VPN之后本地路由会同步过来,根据路由信息,我们可以对具有特殊性的网段进行探测

Foritgate飞塔下一代防火墙后渗透利用

在ForiView Sessions 可以看到内网主机经过ForiGate的连接,我们可以通过分析,获取主机上的各种信息,以及目标的一些常用业务网站的地址等其他信息,帮助我们更好的进行横向。

例如:可以通过Session信息看到目标主机上安装了卡巴斯基(Kaspersky)。

Foritgate飞塔下一代防火墙后渗透利用

借助LDAP直接打入域内

CVE-2022-40684漏洞获取LDAP配置,通过API获取信息

Foritgate飞塔下一代防火墙后渗透利用

ldap配置密码解密

配置文件中的加密过的密码

Foritgate飞塔下一代防火墙后渗透利用

抓包获取ldap凭据

该加密方式跟普通用户一样,但解密时会存在乱码,可以通过流量捕获功能获取明文密码

功能点:User & Authentication -> LDAP Servers,进入ldap配置时,fortigate会进行ldap认证测试Test ConnectivityForitgate飞塔下一代防火墙后渗透利用Foritgate飞塔下一代防火墙后渗透利用

将Server IP 设置为我们自己的ip,即可获取到明文凭据;

Foritgate飞塔下一代防火墙后渗透利用Foritgate飞塔下一代防火墙后渗透利用

或用fortigate中的数据包捕获功能进行抓包。

VPS监听389端口,果然我们会发现防火墙会对我们的服务器进行账号密码验证,从而使我们抓到账号密码

Foritgate飞塔下一代防火墙后渗透利用

工具连接LDAP,我们可以轻松的获取的域内的信息

Foritgate飞塔下一代防火墙后渗透利用

通过3389远程连接域控

Foritgate飞塔下一代防火墙后渗透利用

ldap DN获取

配置LDAP Server时,选择Distinguished Name,可以查看LDAP的`Distinguished Name`;

Foritgate飞塔下一代防火墙后渗透利用

痕迹清理

清除所有日志

execute log delete-all

4

参考文章

https://www.akamai.com/zh/blog/security-research/2024-august-vpn-post-exploitation-techniques-black-hat

https://xz.aliyun.com/news/17899

FortiGate防火墙利用

5

网安资源社区

李白你好VIP社区-网络安全资源社区
https://www.libaisec.com/
Foritgate飞塔下一代防火墙后渗透利用

6

原文始发于微信公众号(李白你好):Foritgate飞塔下一代防火墙后渗透利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日19:36:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Foritgate飞塔下一代防火墙后渗透利用https://cn-sec.com/archives/4099469.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息